Les règles de l’UE en matière de protection des données

Le règlement général sur la protection des données (RGPD) fait l’objet aujourd’hui, soit un peu plus de deux ans après son entrée en application, d’un rapport d’évaluation publié par la Commission européenne. Ce rapport fait apparaître que le RGPD a atteint la plupart de ses objectifs, notamment en conférant aux citoyens un ensemble solide de droits opposables et en créant un nouveau système européen de gouvernance et de contrôle de l’application. Le RGPD s’est révélé être un outil souple à l’appui de l’élaboration de solutions numériques dans des circonstances imprévues telles que la crise de la COVID-19. Le rapport conclut également que l’harmonisation dans l’ensemble des États membres progresse, malgré une certaine fragmentation qu’il faut surveiller en permanence. Il constate également que les entreprises développent une culture du respect de la réglementation et font de plus en plus valoir comme un avantage concurrentiel le niveau élevé de protection des données qu’elles assurent. Le rapport énumère à l’intention de toutes les parties prenantes, en particulier les petites et moyennes entreprises, des actions visant à faciliter davantage l’application du RGPD, afin de promouvoir et de continuer à développer une véritable culture européenne en matière de protection des données et un contrôle rigoureux de l’application.

Věra Jourová, vice-présidente chargée des valeurs et de la transparence, a déclaré à cette occasion: «Faisant désormais référence, le régime européen de protection des données nous guide dans la transition numérique centrée sur l’humain et constitue un pilier important sur lequel nous nous appuyons pour élaborer d’autres politiques, telles que la stratégie pour les données ou notre approche de l’intelligence artificielle.Le RGPD illustre parfaitement comment l’Union européenne, en adoptant une approche fondée sur les droits fondamentaux, donne à ses citoyens les moyens d’agir et offre aux entreprises des possibilités de tirer le meilleur parti de la révolution numérique. Mais nous devons tous continuer à œuvrer pour que le RGPD réalise son plein potentiel.»

Didier Reynders, commissaire chargé de la justice, s’est exprimé en ces termes: «Le RGPD a atteint ses objectifs et est devenu une référence à travers le monde pour les pays qui souhaitent accorder à leurs citoyens un niveau élevé de protection. Nous pouvons toutefois mieux faire, comme le montre le rapport publié aujourd’hui. Par exemple, nous avons besoin d’une plus grande uniformité dans l’application des règles sur tout le territoire de l’Union: c’est important pour les citoyens et pour les entreprises, notamment les PME. Nous devons aussi faire en sorte que les citoyens puissent pleinement faire usage de leurs droits. La Commission assurera le suivi des progrès accomplis, en étroite coopération avec le comité européen de la protection des données et dans ses échanges réguliers avec les États membres, de sorte que le RGPD puisse libérer tout son potentiel.»

Principales conclusions du réexamen du RGPD

Les citoyens sont mieux armés et plus conscients de leurs droits: le RGPD renforce la transparence et confère aux particuliers des droits opposables, tels que les droits d’accès, de rectification et d’effacement, le droit d’opposition et le droit à la portabilité des données. Aujourd’hui, 69 % de la population de l’UE âgée de plus de 16 ans connaissent l’existence du RGPD tandis qu’ils sont 71 % à avoir entendu parler de leur autorité nationale chargée de la protection des données, selon les résultats, publiés la semaine dernière, d’une enquête de l’Agence des droits fondamentaux de l’Union européenne. Toutefois, il est possible de faire davantage pour aider les citoyens à exercer leurs droits, notamment le droit à la portabilité des données.

  • Les règles en matière de protection des données sont adaptées à l’ère du numérique: le RGPD a permis aux particuliers de jouer un rôle plus actif quant à l’utilisation qui est faite de leurs données dans le cadre de la transition numérique. Il contribue aussi à encourager une innovation digne de confiance, notamment grâce à une approche fondée sur les risques et à des principes tels que la protection des données dès la conception et par défaut.
  • Les autorités de protection des données font usage de leurs pouvoirs renforcés d’adopter des mesures correctives: des avertissements et rappels à l’ordre aux amendes administratives, le RGPD dote les autorités nationales chargées de la protection des données des outils adéquats pour en faire respecter les dispositions. Ces autorités doivent toutefois bénéficier d’un soutien suffisant par la mise à disposition des ressources humaines, techniques et financières nécessaires. De nombreux États membres œuvrent actuellement en ce sens, augmentant de façon notable les dotations budgétaires et en personnel. D’une manière générale, les autorités nationales chargées de la protection des données dans l’UE, considérées toutes ensemble, ont vu leurs effectifs augmenter de 42 % et leur budget, de 49 % entre 2016 et 2019. Toutefois, des écarts considérables persistent entre les États membres.
  • Les autorités de protection des données collaborent dans le cadre du comité européen de la protection des données, mais des améliorations sont possibles: le RGPD a établi un système de gouvernance innovant conçu pour garantir une application cohérente et efficace du RGPD grâce à ce que l’on appelle le «guichet unique», mécanisme selon lequel une société traitant des données dans un contexte transfrontière n’a pour interlocutrice qu’une seule autorité de protection des données, à savoir l’autorité de l’État membre dans lequel est situé son établissement principal. Entre le 25 mai 2018 et le 31 décembre 2019, 141 projets de décision ont été soumis par l’intermédiaire du «guichet unique», dont 79 ont abouti à une décision définitive. Toutefois, il est possible de faire davantage pour développer une véritable culture commune de la protection des données. En particulier, le traitement des dossiers transfrontières requiert une approche plus efficace et plus harmonisée ainsi qu’une utilisation effective de tous les outils prévus dans le RGPD afin que les autorités de protection des données coopèrent.
  • Avis et lignes directrices publiés par les autorités de protection des données: le comité européen de la protection des données publie des lignes directrices portant sur des aspects essentiels du règlement et sur des thèmes nouveaux. Plusieurs autorités de protection des données ont créé des outils nouveaux, notamment des lignes d’assistance téléphonique destinées aux particuliers et aux entreprises, et des boîtes à outils pour les petites et les micro-entreprises. Il est primordial de veiller à ce que les orientations données à l’échelle nationale soient strictement conformes aux lignes directrices adoptées par le comité européen de la protection des données.
  • Exploiter pleinement le potentiel des transferts de données internationaux: au cours des deux dernières années, l’engagement international de la Commission en faveur de transferts de données sans entraves et sécurisés a produit d’importants résultats. Ce constat vaut notamment pour les transferts de données entre l’UE et le Japon, qui possèdent à présent en commun la plus grande zone de libre circulation sécurisée de données au monde. La Commission poursuivra ses travaux sur l’adéquation du niveau de protection des données conjointement avec ses partenaires dans le monde. En outre, et en coopération avec le comité européen de la protection des données, la Commission envisage de moderniser d’autres mécanismes de transferts de données, dont les clauses contractuelles types qui sont l’outil de transfert de données le plus couramment utilisé. Le comité européen de la protection des données élabore actuellement des orientations spécifiques sur l’utilisation de la certification et sur des codes de conduite applicables au transfert de données en dehors de l’UE, orientations qui doivent être achevées au plus vite. Étant donné que la Cour de justice de l’Union européenne est susceptible d’apporter des éclaircissements dans un arrêt qu’elle rendra le 16 juillet et qui pourrait présenter un intérêt pour certains éléments du principe d’adéquation, la Commission établira un rapport distinct sur les décisions d’adéquation existantes, après que la Cour aura rendu son arrêt.
  • Promouvoir la coopération internationale: au cours des deux dernières années, la Commission a intensifié les dialogues bilatéraux, régionaux et multilatéraux, encourageant le développement, d’une part, d’une culture mondiale du respect de la vie privée et, d’autre part, de la convergence entre les différents systèmes de protection de la vie privée, dans l’intérêt tant des citoyens que des entreprises. La Commission est résolue à poursuivre ces travaux dans le cadre de l’action extérieure plus vaste de l’UE, par exemple, dans le contexte du Partenariat Afrique-UE et par son soutien aux initiatives internationales, telles que celle intitulée «Libre flux de données en toute confiance» («Data Free Flow with Trust»). Alors que les violations des règles en matière de protection de la vie privée peuvent toucher simultanément un grand nombre de personnes dans plusieurs régions du monde, il est temps d’intensifier la coopération internationale entre les instances chargées de veiller à la protection des données. C’est la raison pour laquelle la Commission sollicitera du Conseil l’autorisation d’ouvrir des négociations en vue de la conclusion, avec les pays tiers concernés, d’accords d’assistance mutuelle et de coopération en matière de prévention et de répression.

Mise en conformité du droit de l’UE avec la directive en matière de protection des données dans le domaine répressif

Par ailleurs, la Commission a également publié aujourd’hui une communication qui recense dix actes juridiques régissant le traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, qu’il conviendrait de mettre en conformité avec la directive en matière de protection des données dans le domaine répressif. Cette mise en conformité sera porteuse de sécurité juridique et clarifiera certaines questions telles que les finalités du traitement de données à caractère personnel par les autorités compétentes et les types de données pouvant faire l’objet d’un tel traitement.

Contexte

Le RGPD prévoit que la Commission présente un premier rapport sur l’évaluation et le réexamen de ce règlement après deux ans d’application et tous les quatre ans par la suite.

Le RGPD est un corpus unique de règles du droit de l’Union régissant, d’une part, la protection des particuliers à l’égard du traitement des données à caractère personnel et, d’autre part, la libre circulation de ces données. Il renforce les garanties en matière de protection des données, confère aux citoyens des droits supplémentaires et renforcés, accroît la transparence et rend tous les acteurs du traitement des données à caractère personnel davantage comptables de leurs actes et plus responsables. Il a doté les autorités nationales chargées de la protection des données de pouvoirs d’exécution harmonisés et renforcés et a instauré un nouveau système de gouvernance entre les autorités de protection des données. Par ailleurs, il crée des conditions de concurrence équitables pour toutes les entreprises actives sur le marché de l’UE, quel que soit leur lieu d’établissement, garantit la libre circulation des données dans l’UE, facilite les transferts de données internationaux sécurisés et constitue, à présent, une référence à l’échelle mondiale.

Comme indiqué à l’article 97, paragraphe 2, du RGPD, le rapport publié ce jour porte en particulier sur les transferts internationaux et sur le «mécanisme de coopération et de cohérence», même si la Commission a adopté une approche plus large de son réexamen afin d’aborder des questions soulevées par divers acteurs au cours des deux dernières années. Le rapport est alimenté par les contributions respectives du Conseil, du Parlement européen, du comité européen de la protection des données, des autorités nationales chargées de la protection des données et des parties prenantes.

Arrêt de la Cour de justice dans l’affaire C-754/18 Ryanair Designated Activity Company

Un membre de la famille d’un citoyen de l’Union qui n’a pas la nationalité d’un État membre mais qui est titulaire d’une carte de séjour permanent est dispensé de l’obligation d’obtenir un visa pour entrer sur le territoire des États membres

Le 9 octobre 2017, la police de l’aéroport Liszt Ferenc de Budapest (Hongrie) a procédé au contrôle des passagers d’un vol en provenance de Londres (Royaume-Uni) opéré par Ryanair. À cette occasion, il a été constaté qu’un passager de nationalité ukrainienne, muni d’un passeport non biométrique et d’une carte de séjour permanent valide, délivrée par le Royaume-Uni conformément à la directive relative aux droits à la libre circulation et au libre séjour des citoyens de l’Union et des membres de leurs familles, ne disposait pas d’un visa. Considérant que, à défaut de disposer d’un visa, ce passager ne détenait pas l’ensemble des documents de voyage requis pour pouvoir entrer sur le territoire hongrois, la police ne l’a pas autorisé à le faire et a demandé à Ryanair de le ramener à Londres.

En outre, elle a estimé que Ryanair n’avait pas pris les mesures lui incombant, en tant que transporteur, pour s’assurer que le passager en question était en possession des documents de voyage requis et a, pour ce motif, infligé une amende d’un montant de 3000 euros à cette société.

Ryanair conteste, devant le Fővárosi Közigazgatásiés Munkaügyi Bíróság (tribunal administratif et du travail de Budapest, Hongrie), la légalité de la décision administrative par laquelle l’amende en cause lui a été infligée. Elle fait valoir, notamment, que le passager en cause était autorisé à entrer sur le territoire hongrois sans être muni d’un visa puisqu’il disposait d’une carte de séjour permanent valide délivrée par le Royaume-Uni en application de la directive 2004/38.

Dans ce contexte, le Fővárosi Közigazgatásiés Munkaügyi Bíróság demande à la Cour de justice, notamment, si les titulaires d‘une carte de séjour permanent sont dispensés, en vertu de la directive 2004/38, de l’obligation d’obtenir un visa et si le bénéfice de cette dispense de visa s’étend aux ressortissants d’États tiers lorsqu’une telle carte de séjour leur a été délivrée par un État membre qui, à l’instar du Royaume-Uni, ne faisait pas partie de l’espace Schengen à la date des faits à l’origine de l’affaire. De plus, la juridiction hongroise souhaite savoirsi cette carte de séjour suffità attester de la qualité de membre de la famille de son titulaire ou s’il est nécessaire de présenter d’autres documents permettant d’établir une telle qualité.

Par son arrêt de ce jour, la Cour constate, tout d’abord, que, bien que la disposition de la directive 2004/38 relative à la dispense de l’obligation de visa n’octroie expressément cette dispense qu’aux titulaires d’une carte de séjour de membres de la famille d’un citoyen de l’Union, cette circonstance n’est pas, ensoi, de nature à établir la volonté du législateur de l’Union d’exclure du bénéfice d’une telle dispense les membres de la famille d’un citoyen de l’Union qui sont en possession d’une carte de séjour permanent.

Or, il ressort d’une analyse globale de la directive 2004/38 que les membres de la famille d’un citoyen de l’Union qui ont déjà obtenu une carte de séjour devraient bénéficier de la dispense en question, le législateur de l’Union ayant entendu accorder le bénéfice de celle-cià tous les membres de la famille d’un citoyen de l’Union qui détiennent une carte de séjour, quel que soit son type.

À cet égard, la Cour souligne que la carte de séjour permanent ne peut être délivrée qu’à des personnes ayant déjà obtenu une carte de séjour de membres de la famille d’un citoyen de l’Union et ayant légalement séjourné, pendant une période ininterrompue de cinq ans, avec le citoyen de l’Union concerné dans l’État membre d’accueil, en bénéficiant pendant cette période de la dispense de visa attachée à la détention d’une telle carte.

Par ailleurs, la Cour rappelle que la directive 2004/38 vise à assurer une intégration graduelle des citoyens de l’Union et des membres de leur famille qui n’ont pas la nationalité d’un État membre dans la société de l’État membre d’accueil. Or, la réalisation de cet objectif serait compromise sil’acquisition d’un droit de séjour permanent, par les membres de la famille d’un citoyen de l’Union, entraînait la perte de la dispense de visa dont ils bénéficiaient avant d’acquérir ce droit de séjour permanent.

Par conséquent, la Cour retient que le membre de la famille d’un citoyen de l’Union qui n’a pas la nationalité d’un État membre, mais qui est titulaire d’une carte de séjour permanent, est dispensé de l’obligation d’obtenir un visa pour entrer sur le territoire des États membres.

La Cour relève ensuite que les dispositions applicables à l’espace Schengen énoncent expressément qu’elles n’affectent pas la liberté de circulation des citoyens de l’Union et des membres de leur famille. À cet égard, la Cour constate que la directive 2004/38 s’applique indistinctement à l’ensemble des États membres, que ceux-ci fassent partie ou non de l’espace Schengen, et quesa disposition relative à la dispense de l’obligation de visa ne fait aucune référence spécifique à cet espace.

Il s’ensuit que le bénéfice de la dispense de visa prévue par la directive 2004/38 s’étend aux membres de la famille d’un citoyen de l’Union qui sont en possession d’une carte de séjour ou d’une carte de séjour permanent aussi bien lorsqu’une telle carte leur a été délivrée par un État membre ne faisant pas partie de l’espace Schengen que lorsqu’elle a été délivrée par un État membre faisant partie de cet espace.

Enfin, la Cour constate que les États membres ne peuvent délivrer, au titre de la directive 2004/38, une carte de séjour permanent qu’aux personnes qui ont la qualité de membre de la famille d’un citoyen de l’Union. Ainsi, la délivrance d’une telle carte par un État membre implique que celui-ci a nécessairement vérifié, au préalable, que la personne concernée a cette qualité. Par conséquent, une carte de séjour permanent est de nature à justifier, en elle-même, que son titulaire dispose de la qualité de membre de la famille d’un citoyen de l’Union. À ce titre, le titulaire d’une telle carte ale droit d’entrer sur le territoire d’un État membre,sans qu’une vérification ou une justification supplémentaire de sa qualité de membre de la famille d’un citoyen de l’Union soit nécessaire.

RAPPEL: Le renvoi préjudiciel permet aux juridictions des États membres, dans le cadre d’un litige dont elles sont saisies, d’interroger la Cour sur l’interprétation du droit de l’Union ou sur la validité d’un acte de l’Union. La Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour. Cette décision lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire.

EIC Accelerator: an opportunity for environmental SMEs

1. Objetive

This specific call from the European Innovation Council Accelerator contributes to implement the Green Deal objectives. Its objective is to encourage impact investment by supporting development and implementing innovation on the market that can lead our social and economic systems in a more sustainable way.

2. Deadline and Budget

It is a non-payable fund of between 0.5 and 2.5 million euros. The total budget is 303,000,000€. Registration will be opened until 19th May (5pm).

3. Details

Projects must support the implementation of the Green Deal and contribute significantly (and proposals should also quantitatively estimate this contribution) to at least one of the following sustainable objectives:


1. Clean energy
2. Sustainable industry 3. Build and renovate
4. Sustainable mobility 5. Biodiversity
6. Sustainable nutrition
7. Eliminate pollution
This call aimed to SMEs, Start-ups and Spin-off in member states of the EU or associated members. This instrument,

4.Who

that is different to the SMEs instrument that only allowed funding option, also enable:


Request funding (up to 70% and between 500,000€ and 2.5
million €), or Request a mixed finance structure made up of: a combination of grants (up to 70% and between 500,000€ and 2.5 million €) and capital financing (up to 15 million €) that can go up to 17.5 million € in total.

For more information, please contact with Finnova Foundation.

Adrián Noheda, EU Project Manager adrian.noheda@finnova.eu